iptables -A INPUT -m state --state NEW -p UDP -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 172.16.1.0/255.255.0.0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -s 172.16.1.0/255.255.0.0 -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -s 0/0 -j REJECT

Спасибо, а что неправильно в следующей конфигирации (доступ к серверу из вне идёт через eth1):

iptables -A INPUT -i eth1 -s 0/0 -p TCP --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -s 0/0 -p TCP --dport 443 -j ACCEPT iptables -A INPUT -i eth1 -s 0/0 -p TCP -j DROP

Переформатировал вопрос

Спасибо, а что неправильно в следующей конфигирации (доступ к серверу из вне идёт через eth1):<br><br>

iptables -A INPUT -i eth1 -p TCP --dport 80 -j ACCEPT<br>
iptables -A INPUT -i eth1 -p TCP --dport 443 -j ACCEPT<br>
iptables -A INPUT -i eth1 -p TCP -j DROP

Уточню вопрос

Вышеописанная процедура работает, т.е. действительно перекрывает порты 80 и 443 из вне.

Но тогда перестаёт работать доступ пользователей в интернет через этот порт, т.к. локальные браузеры используют на приём порты, отличные от 80 и 443, а они заблокированы

Что-то получилось, может кому пригодится

Нашел решение с помошью --sport:

# открываем на передачу только порты ftp/http/https/webmin
iptables -A INPUT -i eth1 -p TCP --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 10000 -j ACCEPT

# открываем на приём только протоколы ftp/http/https
# дырка: возможен доступ к другим портам в данных протоколах !
iptables -A INPUT -i eth1 -p TCP --sport ftp -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --sport http -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --sport https -j ACCEPT

# все остальные порты в протоколе TCP закрываем
iptables -A INPUT -i eth1 -p TCP -j DROP

# ну и не люблю я когда меня пингуют
iptables -A INPUT -i eth1 -p ICMP -j DROP

можете покритиковать, если что забыл